政府方針「サイバーセキュリティ2017」発表、重要インフラ分野が要|サイバーセキュリティ.com

政府方針「サイバーセキュリティ2017」発表、重要インフラ分野が要



2017年8月25日、2017年度のサイバーセキュリティに関する政府方針「サイバーセキュリティ2017」が発表されました。今回はこれについて触れて行きたいと思います。

<参照>サイバーセキュリティ2017/内閣サイバーセキュリティセンター(PDF)

サイバーセキュリティ2016と大きく内容は変わらず

今回の「サイバーセキュリティ2017」、項目はほぼ2016年度の「サイバーセキュリティ2016」を踏襲しています。

同じ項目が今年も並んでいるということは、“やっつけ仕事”だったか、“頑張ってはいるが効果が現れて来ていない”か、のどちらかでしょう。どちらであったとしても(実際は後者でしょうが)日本のサイバーセキュリティ事情は依然深刻な水準だということです。

さらに、2016年から追加・変更が加わっている部分もあります。このあたりを注目して行きます。

IoT機器のボット対策

IoTシステムは少子高齢化社会への目玉対策の一つです。家庭の機器を一元管理しネットワーク化すれば、生活の利便性を高めることができますし、一人暮らしの高齢者が倒れた場合に、異変をキャッチし、アラートを上げることも可能です。ただし、便利なものには危険も付き物。もう既にIoT機器は相当数、乗っ取られています。

昨年話題になった「mirai」は、webカメラやビデオレコーダー等、IoT機器を乗っ取り、それを踏み台に一斉に攻撃を仕掛けるものでした。その数50万台。その他のマルウェアも含めれば、昨年末段階で“最低で”130万台が感染しているとする研究者もいます。

<参考>家電へのサイバー攻撃が急増、IoT普及による家庭用ネット機器の危険性

パソコンのセキュリティは皆さん意識します。スマートフォンもそこそこ意識します。ですが、テレビや防犯カメラ等になってくると、“インターネットに繋がっている意識”が希薄になってしまうのです。

IoTボットはもう既にそこにある危機。自宅のWi-Fi設定は安全でしょうか?

セキュリティ対策には適正に対価を支払え

次に興味深いのがこの部分。1.2(3)組織能力の向上の(ウ)の文章です。

リスクの高い丸投げ下請けや多様化するセキュリティ対策費用の増加に応じた適切な価格設定に向け~(中略)~情報システム開発・運用に係る取引の適正化を図る。

適切なセキュリティ対策には、スキルと工数がかかります。当然のことです。

ところが、発注者が「安ければいい」としか考えないと、受注者は安いところ(海外も含む)に丸投げしたり、スキルの無い人間にやらせたり、無茶な注文を受け続けて犯罪を誘発したりして、取り返しのつかない事例に発展しかねません。

そもそも高いスキルを要する仕事を安売りできるわけがないのです。また、安売りされるなら、高いスキルを持つ人が、わざわざそんな仕事を受けるわけがありません。安売りされるなら、若手がその仕事でキャリア形成しようとも思いません。適正価格の確保は、社会を守るために必要なのです。

重要インフラへの対応

最も大きく文章が変わったのが「重要インフラを守るための取り組み」です。

各国で発生するテロル。2020年の東京オリンピック・パラリンピック。国民の生活を支える重要インフラを守ることは、今、強く求められていることです。4月に「重要インフラの情報セキュリティ対策に係る第4次行動計画」が正式発表されたこともあり、2016年版に比べ、かなり対策や担当者が具体的になってきました。

東京オリンピック・パラリンピックまで残り3年も無い中で、民間企業も関係してくる重要インフラ分野への対応は、加速度を増す必要があります。2016年版には無かった下記項目が挙げられています。

  • 警察庁との協力体制
  • 重要インフラ事業者等への個別訪問
  • 保有するシステムに対するぜい弱性試験

“うちは大企業じゃないから関係無い”と思わないでください。

重要インフラと指定されている企業は、末端までのセキュリティ確保を要求されています。末端まで「自分の会社の仕事」なのです。重要インフラに大きく係わる仕事をしているような企業は、警察がサイバーセキュリティの状況確認にやってきて、システムテストをすることもあり得るのです。

最後に

2020年サイバーセキュリティ国家を目指すためには、今年が最後のチャンスでしょう。少なくとも政府は重要インフラ分野に対して大号令を発しました。

安心・安全なオリンピックを開催するために、社会全体のセキュリティに対する意識改革は待ったなしです。“誰かがやってくれる”ではなく、私たち一人一人がサイバーセキュリティを意識することが求められています。

<参照>サイバーセキュリティ2017/内閣サイバーセキュリティセンター(PDF)


SNSでもご購読できます。